Een belangrijke update van Microsoft die afgelopen dinsdag voor een kritiek beveiligingslek in Windows verscheen kan in sommige gevallen voor problemen zorgen. Het gaat om Security Bulletin MS14-066 die een kwetsbaarheid in Microsoft Secure Channel (Schannel) verhelpt. Dit is de standaard SSL-bibliotheek die Windows voor de implementatie van SSL gebruikt. De meeste Windowssoftware die verbindingen en informatie via SSL beveiligt, maakt gebruik van Schannel.
In bepaalde configuraties waar het encryptieprotocol TLS 1.2 standaard staat ingeschakeld en het opzetten van een TLS-verbinding mislukt kan het proces of verschillende services na installatie van de update vastlopen en niet meer reageren. Ook kan er een foutmelding verschijnen. Om het probleem te verhelpen heeft Microsoft een 'work around' gepubliceerd waarin wordt geadviseerd om bepaalde encryptieopties handmatig in het Windows Register te verwijderen.
Volgens Johannes Ullrich van het Internet Storm Center laat de communicatie van Microsoft in dit betreffende Security Bulletin te wensen over. Zo ontbreekt er belangrijke informatie over de impact van een aanval waarbij een certificaat wordt omzeild en worden er drie verschillende lekken met MS14-066 in verband gebracht, hoewel het bulletin slechts één CVE-nummer bevat. Ook is onduidelijk hoe het probleem precies is ontdekt. Op sommige plekken stelt Microsoft dat de kwetsbaarheid tijdens een interne audit is gevonden, terwijl er op andere plekken wordt aangegeven dat een externe partij het lek ontdekte.
Deze posting is gelocked. Reageren is niet meer mogelijk.